Schéma definuje formulář pro hlášení kybernetického bezpečnostního incidentu GovCERT.CZ This scheme defines the GovCERT.CZ report form for a cyber security incident 1.0 Osobní - seznam příjemců Personal - List of beneficiaries Omezená distribuce Restricted distribution Neomezeno (veřejné) Unrestricted TLP - Traffic Light Protocol TLP - Traffic Light Protocol source: https://www.us-cert.gov/tlp RED - Informace výhradně a přímo dána jednotlivým příjemcům. Sdílení (mimo skupinu příjemců) není legitimní RED When should it be used?- Sources may use TLP: RED when the information cannot be effectively acted upon by additional parties, and could lead to impacts on a party's privacy, reputation, or operations if misused. RED How may it be shared?- Recipients may not share TLP: RED information with any parties outside the specific exchange, meeting, or conversation in which it is originally disclosed. AMBER - Informace výlučně věnována organizaci; sdílení omezeno v rámci organizace, které je informace směřována AMBER When should it be used?- Sources may use TLP: AMBER when the information requires support in order to be effectively acted upon, but carries risks to privacy, reputation or operations if shared outside of the organizations involved. AMBER How may it be shared?- Recipients may only share TLP: AMBER information with members of their own organization who need to know, and only as widely as necessary to act on that information. GREEN - Informace poskytnuté pro komunitu nebo skupiny organizací (CERT/CSIRT týmy). Tyto informace nemohou být zveřejněny. GREEN When should it be used?- Sources may use TLP: GREEN when the information is useful for awareness of all participating organizations as well as with peers within the broader community or sector. GREEN How may it be shared?- Recipients may share TLP: GREEN information with peers and partner organizations within their sector or community, but not via publicly accessible channels. WHITE - Informace mohou být sdíleny veřejně v souladu se zákonem WHITE When should it be used?- Sources may use TLP: WHITE when the information carries minimal or no foreseeable risk of misuse, in accordance with applicable rules and procedures for public release. WHITE How may it be shared?- TLP: WHITE information may be distributed without restriction, subject to copyright controls. Kategorie III – velmi závažný kybernetický bezpečnostní incident Category III - very serious cyber security incident Kategorie II – závažný kybernetický bezpečnostní incident Category II - serious cyber security incident Kategorie I – méně závažný kybernetický bezpečnostní incident Category I - less serious cyber security incident Kybernetický bezpečnostní incident způsobený kybernetickým útokem nebo jinou událostí vedoucí k průniku do systému nebo k omezení dostupnosti služeb. Cyber security incident caused by a cyber attack or other events resulting into an intrusion into the system or limitation of the availability of services Kybernetický bezpečnostní incident způsobený škodlivým kódem. Cyber security incident caused by a malicious code. Kybernetický bezpečnostní incident způsobený překonáním technických opatření. Cyber security incident caused by a breach of technical measures. Kybernetický bezpečnostní incident způsobený porušením organizačních opatření. Cyber security incident caused by a violation of organizational measures. Kybernetický bezpečnostní incident spojený s projevem trvale působících hrozeb. Cyber security incident associated with an APT. Ostatní kybernetické bezpečnostní incidenty způsobené kybernetickým útokem. Other cyber security incidents caused by a cyber attack. Kybernetický bezpečnostní incident způsobující narušení důvěrnosti primárních aktiv. Cyber security incident causing disruption in confidentiality of primary assets. Kybernetický bezpečnostní incident způsobující narušení integrity primárních aktiv. Cyber security incident causing disruption in integrity of primary assets. Kybernetický bezpečnostní incident způsobující narušení dostupnosti primárních aktiv. Cyber security incident causing disruption in availability of primary assets. Kybernetický bezpečnostní incident způsobující kombinaci dopadů uvedených shora. Cyber security incident resulting in a combination of above impacts. Upřesnění podle standardu ENISA / eCSIRT.net - Incident Classification zdroj: http://www.ecsirt.net/cec/service/documents/wp4-clearinghouse-policy-v12.html ENISA / eCSIRT.net Standart - Incident Classification source: http://www.ecsirt.net/cec/service/documents/wp4-clearinghouse-policy-v12.html Abusive Content (např. spam, kyberšikana, nevhodný obsah) Abusive Content (Spam, Harassment, Child/Sexual/Violence) Malicious Code (např. virus, červ, trojský kůň, dialer, spyware) Malicious Code (Virus, Worm, Trojan, Dialer, Spyware) Information Gathering (např. skenování, sniffing, sociální inženýrství) Information Gathering (Scanning, Sniffing, Social Engineering) Intrusions (např. kompromitace aplikace nebo uživatelského účtu) Intrusions (Privileged Account Compromise, Unprivileged Account Compromise, Application Compromise) Intrusion Attempts (např. zneužití zranitelnosti, kompromitace aktiva, 0-day útok) Intrusion Attempts (Exploiting of known Vulnerabilities, Login attempts, new attack signature) Availability (např. narušení dostupnosti způsobené DoS/DDoS útokem nebo sabotáží) Availability (DoS, DDos, Sabotage) Information Security (např. neautorizovaný přístup nebo neautorizovaná změna informace, aj.) Information Security (Unauthorised access to information) Fraud (např. neoprávněné využití ICT - porušení licenčních práv, krádež identity, aj.) Fraud (Unauthorized use of resources) Ostatní Other (All incidents which don't fit in one of the given categories should be put into this class) Probíhá analýza a šetření kybernetického incidentu Ongoing analysis and investigation of cyber incident Kybernetický bezpečnostní incident je pod kontrolou Cyber security incident is under control Dotčené funkce obnoveny Affected functions are restored Neznámý Unknown Incident Incident Událost Event Iniciační oznámení Initiation announcement Pokračování dříve oznámených Continuation of the previously announced Orgán a osoba uvedená v § 3 písm. c) až e) zákona Authority and the person referred to in § 3. c) to e) Identifikátor zadávejte jen tehdy, pokud Vám byl sdělen ze strany GovCERTu (jde o jednoznačný identifikátor orgánu nebo osoby) Put identifier only if you have been communicated by the GovCERT (it is a unique identifier of a authority or person) Datum, čas a časová zóna zjištění Date of discovery with timezone mark Datum a čas výskytu incidentu Date of occurrence of the incident Kategorie incidentu Category of the incident Typ incidentu Type of the incident Upřesnění podle standardu ENISA / eCSIRT.net Clarification by standard ENISA / eCSIRT.net Současný stav zvládání kybernetického bezpečnostního incidentu The current state of cyber security incident managing Počet zasažených systémů (odhad) The number of affected systems (estimate) Odhad počtu dotčených uživatelů The number of affected users (estimate) Popis incidentů Incident description Přidělené číslo incidentu (vyplňte, pouze pokud vám bylo přiděleno) Assigned of the incident number (fill in only if you have been assigned) Jde o incident nebo událost It is about of an incident or event Rozsah škod Extent of damage Jaká opatření byla přijata? What measures have been taken? Host nebo IP Host or IP Funkce hosta Host features Návaznost na předchozí hlášení Connection to previous announcement Operační systém a jeho verze OS and version Umístění systému v architektuře Location of the system in the architecture Host nebo IP Host or IP Povinné pole Mandatory field Povinné pole Mandatory field Povinné pole Mandatory field Povinné pole, které se může opakovat Mandatory field, may be repeated Nepovinný popis zdroje/zdrojů útoku Optional description/s of the source of attack